Sintomi
I certificati EvoSTS sono gestiti da Azure Active Directory (Azure AD) e regolarmente aggiornati individualmente per ogni tenant, il che accade più di frequente per alcuni utenti. Il rollover dei certificati o la relativa pianificazione non è trasparente per l'utente. Viene fuori che un tale rollover crea interruzioni dei servizi per gli utenti che utilizzano l'autenticazione moderna ibrida (HMA). Il problema si verifica quando un processo di lavoro viene avviato o riciclato o quando un computer viene ricondotto dalla manutenzione e il materiale chiave divergente è presente in Active Directory. Dopo l'inizializzazione di qualsiasi processo di lavoro, la prima richiesta contenente i dati di autenticazione del portatore caricherà le librerie OAuth e avvierà il materiale chiave leggendo le informazioni dall'oggetto AuthServer in Active Directory. In seguito, il processo di lavoro può autenticare la richiesta contenente i dati di autenticazione del portatore. Tuttavia, se il materiale chiave in Azure AD (EvoSTS) è stato eseguito il rollback, non può autenticare tali richieste a causa della sicurezza dei messaggi non valida (il materiale della chiave non corrisponde) mentre la firma si diverge. Dopo un intervallo casuale (timer max 30 minuti), il processo di lavoro cercherà e recupererà il materiale chiave online tramite l'endpoint dei metadati pubblicati.
Se vengono trovate chiavi nuove o divergenti, queste verranno aggiunte e caricate nel processo (istanza) per la durata del processo di lavoro e l'autenticazione funzionerà da ora in poi. Dato che i nuovi dati chiave non vengono mai riscritti in Active Directory, la stessa iterazione viene riavviata per qualsiasi processo di lavoro che genera una nuova istanza.
Risoluzione
Per risolvere il problema, installare uno degli aggiornamenti seguenti:
Per Exchange Server 2019, installare l' aggiornamento cumulativo 6 per exchange server 2019 o un aggiornamento cumulativo successivo per Exchange Server 2019.
Per Exchange Server 2016, installare l' aggiornamento cumulativo 17 per exchange server 2016o un aggiornamento cumulativo successivo per Exchange Server 2016.
Riferimenti
Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.
